Миграция с Windows Server на Linux: рабочий план для офиса 50+ ПК
Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. Последние два года редкий месяц проходит без запроса «а можете снять нас с Windows Server». У меня на практике было уже около 40 таких проектов, от одиночного файл-сервера до полной замены доменной инфраструктуры на 300 рабочих мест. Написал этот материал как пошаговый план действий — без обещаний «за неделю всё перенесём», зато с честной оценкой рисков и типовых сроков.
Почему вообще мигрируют и кому это нужно
Причин ровно четыре, и все рабочие. Первая — лицензии. Windows Server Standard на два сокета плюс CAL на 50 юзеров в 2026 году обходится в цифры, которые директора читают дважды. Вторая — санкции. Часть клиентов с конца 2022 года не могут легально активировать новые инсталляции. Третья — 223-ФЗ и требования к импортозамещению для госкомпаний и их подрядчиков. Четвёртая — усталость от телеметрии и принудительных ребутов на серверах.
Но у нас на практике есть и обратная сторона: если у вас Exchange с 10-летней историей, корпоративный домен с десятками GPO и приложения на .NET Framework — миграция обойдётся дороже, чем продление лицензий на ближайшие 3 года. Я всегда начинаю разговор с расчёта TCO, а не с энтузиазма.
Этап 1. Инвентаризация ролей и зависимостей
Без полной карты сервисов миграция превращается в хаос. В первый день проекта я делаю три таблицы: список серверов с ролями, список бизнес-приложений с зависимостями и список интеграций с внешними системами.
| Роль Windows Server | Аналог в Linux | Сложность переезда |
|---|---|---|
| Active Directory Domain Services | Samba AD DC или FreeIPA | Высокая |
| File Server (SMB) | Samba 4 + ACL | Средняя |
| Print Server | CUPS | Низкая |
| DNS | BIND9 или встроенный в Samba | Низкая |
| DHCP | ISC Kea или dhcpd | Низкая |
| IIS | Nginx + PHP/Node/Python | Средняя |
| MS SQL Server | PostgreSQL или MS SQL for Linux | Высокая |
| Exchange Server | Postfix+Dovecot или iRedMail | Высокая |
| RDS (терминальный) | X2Go, Guacamole, Thinstuff | Высокая |
Этап 2. Выбор дистрибутива
Я не фанат споров «Debian против RHEL-клонов», но для корпоративной среды есть практические критерии: длинный цикл поддержки (минимум 5 лет), наличие коммерческой поддержки в России, совместимость с гипервизорами и соответствие ФСТЭК, если клиент работает с гостайной или ПДн.
- Astra Linux Special Edition — когда нужен сертификат ФСТЭК для 1Г или обработки ГИС.
- RED OS — сертифицированный дистрибутив для госсектора с поддержкой «Ред Софт».
- AlmaLinux / Rocky Linux 9 — бесплатные RHEL-клоны для коммерческих компаний с 10-летней поддержкой.
- Debian 12 Stable — для команд с опытом Debian и нелюбовью к SELinux.
У нас на практике чаще всего ставим AlmaLinux 9 — он стабилен, совместим с основными коммерческими продуктами и не требует регистрации.
Этап 3. Пилотная зона
Никогда не мигрируйте продуктив «в лоб». Я всегда поднимаю пилот на отдельном контуре — обычно две-три виртуалки на том же гипервизоре, куда переносится малая часть пользователей (IT-отдел и один лояльный заказчик, например, бухгалтерия из двух человек).
# Базовая подготовка нового файл-сервера на AlmaLinux 9
dnf install -y samba samba-client samba-common cifs-utils
systemctl enable --now smb nmb
firewall-cmd --permanent --add-service=samba
firewall-cmd --reload
# Присоединение к существующему AD
realm join --user=Administrator corp.example.ru
net ads testjoinНа пилоте проверяются ключевые сценарии: вход пользователей, доступ к общим папкам, печать, почта, VPN. Всё, что не взлетает — правится до основной миграции, а не во время неё.
Этап 4. Замена доменного контроллера
Самая нервная часть. Samba AD DC умеет почти всё, что MS AD: Kerberos, LDAP, репликация, GPO (читать, с ограничениями — создавать). Я всегда поднимаю Samba AD как дополнительный DC рядом с действующим Windows DC, выполняю репликацию, и только потом переношу FSMO-роли.
# Установка и настройка Samba AD DC
dnf install -y samba samba-dc samba-client krb5-workstation
samba-tool domain join corp.example.ru DC \
--username=Administrator --realm=CORP.EXAMPLE.RU
# Перенос FSMO-ролей на новый DC
samba-tool fsmo transfer --role=all
# Проверка
samba-tool domain info 127.0.0.1
samba-tool drs showreplЭтап 5. Файловые ресурсы и ACL
Основная ловушка — NTFS ACL не равны POSIX ACL. Я всегда использую Samba с параметром vfs objects = acl_xattr и переношу права через smbcacls, а не через chmod. Иначе мы потеряем наследование и специфические разрешения для групп.
# Настройка общего ресурса с полной поддержкой NTFS-ACL
[Finance]
path = /srv/shares/finance
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
inherit permissions = yes
read only = noМиграцию данных делаем через robocopy /SEC /SECFIX на Windows-стороне в общую папку, смонтированную с Linux. После переноса обязательно проверяем ACL на нескольких контрольных файлах и папках.
Мини-кейс: 85 рабочих мест, логистический оператор
В марте 2026 года закрыли проект для логистической компании. Исходная конфигурация: Windows Server 2016 Standard на двух HP DL380, домен на 85 юзеров, Exchange 2016 на 75 ГБ почты, MS SQL 2017 под 1С:Предприятие. Бюджет на продление лицензий подходил к 1,8 млн руб. на 3 года.
Мы развернули новую серверную площадку на базе Dell Xeon Platinum 8280 с 40G Mellanox-сетью в дата-центре МТС. AlmaLinux 9 с Samba AD, Postfix+Dovecot+Rspamd вместо Exchange, PostgreSQL (1С работает с Postgres Pro) вместо MS SQL. Миграция заняла 11 недель с пилотом. Бюджет проекта — 740 000 руб. «под ключ», экономия на лицензиях за 3 года — 1,06 млн руб., срок окупаемости — 21 месяц.
Этап 6. Параллельная работа и cutover
За 15+ лет я ни разу не делал «холодный cutover» в пятницу вечером. Всегда сначала параллельная работа 2–4 недели, когда старая и новая инфраструктуры живут рядом. Пользователи постепенно переключаются, данные синхронизируются по ночам через rsync или DFS-R. Только после подтверждения стабильности — окончательный переход.
| Фаза | Что делаем | Срок |
|---|---|---|
| Подготовка | Инвентаризация, пилот, обучение | 4–5 недель |
| Параллельная работа | Синхронизация, тестовое переключение групп | 3–4 недели |
| Cutover | Массовое переключение, отключение Windows | 1 неделя |
| Стабилизация | Доработки, тренинги, мониторинг | 3–4 недели |
Типичные ошибки при миграции
- Попытка мигрировать Exchange «в ту же доменную почту» без смены MX — гарантированные 2 недели ада с фильтрацией писем.
- Забывают про локальные права на рабочих станциях. После смены доменной интеграции половина пользователей теряет доступ к закэшированным профилям.
- Не тестируют печать. CUPS работает не со всеми корпоративными МФУ из коробки — драйверы Kyocera и некоторых Ricoh ставятся отдельно.
- Не делают план отката. У меня всегда под рукой снэпшот прежнего DC и данные за 7 последних дней на отдельной площадке.
- Экономят на пилоте. Проект без пилота выходит за сроки в 2–3 раза.
Спланируем миграцию вашей серверной на Linux
Я лично веду проекты перехода с Windows Server на Linux. Бесплатный аудит и расчёт сроков — за 2–3 часа на месте. Срок миграции офиса 50 ПК — 2–3 месяца, крупнее — до полугода. С пилотом, планом отката и сопровождением.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы про миграцию на Linux
- Зачем мигрировать с Windows Server на Linux?
- Экономия на CAL и Datacenter-лицензиях, санкционные ограничения, требования регулятора к отечественному ПО, отказ от телеметрии.
- Какие роли Windows Server сложнее всего мигрировать?
- Active Directory, Exchange, RDS и приложения на .NET Framework с жёсткой привязкой к IIS.
- Какой Linux выбрать вместо Windows Server?
- Astra Linux, RED OS, AlmaLinux, Rocky Linux или Debian Stable — по требованиям к сертификации и компетенциям команды.
- Сколько длится миграция офиса на 50 ПК?
- От 2 до 5 месяцев с пилотом, параллельной работой и стабилизацией.
- Можно ли не трогать рабочие станции и мигрировать только серверы?
- Да, самый простой сценарий. Клиенты остаются на Windows, серверы переезжают на Linux с SAMBA и Postfix.